MadMxShell ਬੈਕਡੋਰ

ਇੱਕ Google ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਸਕੀਮ ਵੈਬਸਾਈਟਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੀ ਹੈ ਜੋ MadMxShell ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਗਏ ਬੈਕਡੋਰ ਨੂੰ ਵੰਡਣ ਲਈ ਜਾਇਜ਼ IP ਸਕੈਨਰ ਸੌਫਟਵੇਅਰ ਦੀ ਨਕਲ ਕਰਦੀ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ਟਾਈਪੋਸਕੁਏਟਿੰਗ ਦੁਆਰਾ ਬਹੁਤ ਸਾਰੇ ਸਮਾਨ-ਦਿੱਖ ਵਾਲੇ ਡੋਮੇਨ ਰਜਿਸਟਰ ਕੀਤੇ ਹਨ ਅਤੇ ਖੋਜ ਨਤੀਜਿਆਂ ਵਿੱਚ ਇਹਨਾਂ ਸਾਈਟਾਂ ਨੂੰ ਉਤਸ਼ਾਹਤ ਕਰਨ ਲਈ Google Ads ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ, ਬੇਲੋੜੇ ਦਰਸ਼ਕਾਂ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕਰਨ ਲਈ ਖਾਸ ਕੀਵਰਡਸ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ।

ਨਵੰਬਰ 2023 ਅਤੇ ਮਾਰਚ 2024 ਦੇ ਵਿਚਕਾਰ, ਵੱਖ-ਵੱਖ ਪੋਰਟ ਸਕੈਨਿੰਗ ਅਤੇ IT ਪ੍ਰਬੰਧਨ ਸਾਫਟਵੇਅਰ ਜਿਵੇਂ ਕਿ ਐਡਵਾਂਸਡ IP ਸਕੈਨਰ, ਐਂਗਰੀ ਆਈਪੀ ਸਕੈਨਰ, IP ਸਕੈਨਰ PRTG ਅਤੇ ManageEngine ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦੇ ਹੋਏ, ਲਗਭਗ 45 ਡੋਮੇਨ ਰਜਿਸਟਰ ਕੀਤੇ ਗਏ ਸਨ।

ਜਦੋਂ ਕਿ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਪਹਿਲਾਂ ਵੀ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਰਹੀ ਹੈ, ਇਹ ਘਟਨਾ ਇੱਕ ਗੁੰਝਲਦਾਰ ਵਿੰਡੋਜ਼ ਬੈਕਡੋਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ਅਜਿਹੀ ਵਿਧੀ ਦੀ ਪਹਿਲੀ ਉਦਾਹਰਣ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸ਼ਕਤੀਸ਼ਾਲੀ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਲੁਭਾਉਂਦੇ ਹਨ

ਇਹਨਾਂ ਸਾਧਨਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ JavaScript ਕੋਡ ਵਾਲੀਆਂ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਵੱਲ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਡਾਊਨਲੋਡ ਬਟਨ ਨੂੰ ਕਲਿੱਕ ਕਰਨ 'ਤੇ 'Advanced-ip-scanner.zip' ਨਾਮ ਦੀ ਇੱਕ ਖਤਰਨਾਕ ਫਾਈਲ ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ।

ZIP ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ, ਦੋ ਫਾਈਲਾਂ ਹਨ: 'IVIEWERS.dll' ਅਤੇ 'Advanced-ip-scanner.exe।' ਬਾਅਦ ਵਾਲਾ 'IVIEWERS.dll' ਨੂੰ ਲੋਡ ਕਰਨ ਅਤੇ ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

DLL ਫਾਈਲ ਪ੍ਰੋਸੈਸ ਹੋਲੋਇੰਗ ਨਾਮਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ 'ਐਡਵਾਂਸਡ-ip-scanner.exe' ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਏਮਬੈਡਡ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੀ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਇੰਜੈਕਟ ਕੀਤੀ EXE ਫਾਈਲ ਦੋ ਵਾਧੂ ਫਾਈਲਾਂ ਨੂੰ ਖੋਲ੍ਹਦੀ ਹੈ - 'OneDrive.exe' ਅਤੇ 'Secur32.dll'।

'Secur32.dll' ਨੂੰ ਲੋਡ ਕਰਨ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਬੈਕਡੋਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜਾਇਜ਼ ਹਸਤਾਖਰਿਤ ਮਾਈਕਰੋਸਾਫਟ ਬਾਈਨਰੀ 'OneDrive.exe' ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਪਹਿਲਾਂ ਤੋਂ, ਮਾਲਵੇਅਰ ਇੱਕ ਨਿਯਤ ਕਾਰਜ ਬਣਾ ਕੇ ਅਤੇ Microsoft ਡਿਫੈਂਡਰ ਐਂਟੀਵਾਇਰਸ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾ ਕੇ ਹੋਸਟ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

MadMxShell ਬੈਕਡੋਰ ਬਹੁਤ ਸਾਰੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਲਈ DNS MX ਸਵਾਲਾਂ ਦੀ ਇਸਦੀ ਵਰਤੋਂ ਲਈ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ, MadMxShell ਬੈਕਡੋਰ ਸਿਸਟਮ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ, cmd.exe ਦੁਆਰਾ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨ, ਲਿਖਣ ਅਤੇ ਮਿਟਾਉਣ ਵਰਗੇ ਬੁਨਿਆਦੀ ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਸਦੇ C2 ਸਰਵਰ ('litterbolo.com') ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ, ਇਹ DNS ਮੇਲ ਐਕਸਚੇਂਜ (MX) ਕਿਊਰੀ ਪੈਕੇਟਾਂ ਵਿੱਚ ਫੁਲੀ ਕੁਆਲੀਫਾਈਡ ਡੋਮੇਨ ਨਾਮ (FQDN) ਦੇ ਸਬਡੋਮੇਨਾਂ ਦੇ ਅੰਦਰ ਡੇਟਾ ਨੂੰ ਏਨਕੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਜਵਾਬ ਪੈਕੇਟਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਡੀਸੀਫਰ ਕਰਦਾ ਹੈ।

C2 ਸੰਚਾਰ ਲਈ ਮਲਟੀ-ਸਟੇਜ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਅਤੇ DNS ਟਨਲਿੰਗ ਵਰਗੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦਾ ਉਦੇਸ਼ ਅੰਤਮ ਬਿੰਦੂ ਅਤੇ ਨੈੱਟਵਰਕ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਦੂਰ ਕਰਨਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਮੈਮੋਰੀ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਨਾਕਾਮ ਕਰਨ ਅਤੇ ਫੋਰੈਂਸਿਕ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਐਂਟੀ-ਡੰਪਿੰਗ ਵਰਗੇ ਚੋਰੀ ਦੇ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

MadMxShell ਬੈਕਡੋਰ ਦੇ ਪਿੱਛੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੇ ਅਣਜਾਣ ਟੀਚੇ ਹਨ

ਮਾਲਵੇਅਰ ਆਪਰੇਟਰਾਂ ਦੇ ਮੂਲ ਜਾਂ ਇਰਾਦਿਆਂ ਬਾਰੇ ਵਰਤਮਾਨ ਵਿੱਚ ਕੋਈ ਪੱਕਾ ਸੁਰਾਗ ਨਹੀਂ ਹਨ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਅਪਰਾਧਿਕ ਭੂਮੀਗਤ ਫੋਰਮਾਂ 'ਤੇ ਉਨ੍ਹਾਂ ਦੁਆਰਾ ਬਣਾਏ ਗਏ ਦੋ ਖਾਤਿਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਕਲਾਕਾਰਾਂ ਨੂੰ ਜੂਨ 2023 ਤੱਕ ਅਸੀਮਤ Google AdSense ਥ੍ਰੈਸ਼ਹੋਲਡ ਖਾਤੇ ਸਥਾਪਤ ਕਰਨ ਦੇ ਤਰੀਕਿਆਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਚਰਚਾਵਾਂ ਵਿੱਚ ਹਿੱਸਾ ਲੈਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਨਿਰੰਤਰ ਖਰਾਬ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕਰਨ ਵਿੱਚ ਡੂੰਘੀ ਦਿਲਚਸਪੀ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

Google Ads ਥ੍ਰੈਸ਼ਹੋਲਡ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਖਾਤਿਆਂ ਅਤੇ ਰਣਨੀਤੀਆਂ ਦਾ ਆਮ ਤੌਰ 'ਤੇ BlackHat ਫੋਰਮਾਂ 'ਤੇ ਵਟਾਂਦਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਵਿਧੀਆਂ ਅਕਸਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਤੁਰੰਤ ਭੁਗਤਾਨ ਕੀਤੇ ਬਿਨਾਂ Google Ads ਮੁਹਿੰਮਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕ੍ਰੈਡਿਟ ਇਕੱਠੇ ਕਰਨ ਦਾ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ, ਉਹਨਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦੀ ਮਿਆਦ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਵਧਾਉਂਦੀਆਂ ਹਨ। ਕਾਫ਼ੀ ਉੱਚ ਥ੍ਰੈਸ਼ਹੋਲਡ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਵਿਗਿਆਪਨ ਮੁਹਿੰਮਾਂ ਨੂੰ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਮਿਆਦ ਲਈ ਕਾਇਮ ਰੱਖਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।